劉意先，慕德俊

(西北工業(yè)大學(xué) 自動(dòng)化學(xué)院，陜西 西安 710072)

0 引 言

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)信息系統(tǒng)也成為了企業(yè)和組織日常工作中必不可少的工具和基礎(chǔ)設(shè)施，各種應(yīng)用和新業(yè)務(wù)的不斷涌現(xiàn)，產(chǎn)生了巨大的經(jīng)濟(jì)效益。與此同時(shí)，各種網(wǎng)絡(luò)安全事件的頻發(fā)也成為了當(dāng)前社會(huì)的關(guān)注焦點(diǎn)。2015年，國(guó)家網(wǎng)絡(luò)應(yīng)急中心共接收境內(nèi)外報(bào)告的網(wǎng)絡(luò)安全事件126 916起，較2014年增長(zhǎng)了125.9%。其中，境內(nèi)報(bào)告的網(wǎng)絡(luò)安全事件126 424起，較2014年增長(zhǎng)了128.6%[1]。各種安全事件是黑客利用各種軟硬件以及企業(yè)組織管理中存在的漏洞實(shí)施的攻擊。每年各種安全漏洞層出不窮，到2016年底中國(guó)國(guó)家漏洞庫中已有漏洞信息8萬多條[2]。通過安裝各類補(bǔ)丁、殺毒軟件、入侵檢測(cè)系統(tǒng)以及防火墻等，雖然能降低各類安全事件的發(fā)生概率，但無法讓企業(yè)和組織整體把握安全狀態(tài)和面臨安全威脅時(shí)進(jìn)行有目的的安全防護(hù)。因此信息安全評(píng)估技術(shù)成為了處理這類問題的重要手段[3]。

文中主要是以信息安全保護(hù)最重要的三個(gè)屬性-機(jī)密性(confidentiality)、完整性(integrity)和可用性為指標(biāo)(availability)，通過對(duì)網(wǎng)絡(luò)系統(tǒng)的資產(chǎn)進(jìn)行分析，完成相應(yīng)的安全評(píng)估。

1 信息安全的屬性

在不同信息安全的風(fēng)險(xiǎn)評(píng)估模型和方法中，對(duì)資產(chǎn)安全性度量以及風(fēng)險(xiǎn)計(jì)算上存在一定的差異[4]。張弢等提出了一種基于風(fēng)險(xiǎn)矩陣的信息安全風(fēng)險(xiǎn)評(píng)估模型[5]，通過建立二維矩陣處理專家對(duì)各類指標(biāo)的評(píng)分，計(jì)算出受評(píng)實(shí)體的風(fēng)險(xiǎn)要素，再利用Borda序值理論和層次分析法(analytical hierarchy process，AHP)得出評(píng)估對(duì)象的等級(jí)值。劉延華等提出了一種基于云模型的多層次可生存性模糊評(píng)估方法[6]，用AHP方法構(gòu)建了多層次評(píng)估指標(biāo)體系，并對(duì)各級(jí)指標(biāo)權(quán)重進(jìn)行了有效計(jì)算，實(shí)現(xiàn)了對(duì)云環(huán)境下網(wǎng)絡(luò)可用性的評(píng)估。楊?yuàn)欐碌忍岢隽艘环N基于TOPSIS的多屬性群決策方法[7]。Khanmohammadi等[8]提出了從業(yè)務(wù)的目標(biāo)出發(fā)，考慮業(yè)務(wù)流程的關(guān)鍵性、角色以及重要程度來實(shí)現(xiàn)綜合的風(fēng)險(xiǎn)評(píng)估的方法。這些方法大多數(shù)都采用了機(jī)密性、完整性以及可用性作為其中的指標(biāo)。這3個(gè)屬性能體現(xiàn)用戶對(duì)系統(tǒng)的信息安全的基本要求。機(jī)密性指敏感信息不被未授權(quán)者獲取的程度；完整性指信息的各部分在受到惡意或未授權(quán)的攻擊下被保護(hù)的程度；可用性指抵抗各種企圖降低信息可操作性攻擊的程度[9]。

在一般的評(píng)估方法中，對(duì)相關(guān)指標(biāo)的評(píng)價(jià)大多采用專家打分的方式來完成[10-11]，分值可以用語言型的數(shù)據(jù)進(jìn)行定性的表達(dá)，而在數(shù)據(jù)處理計(jì)算中，對(duì)這種以定性形式表達(dá)的數(shù)據(jù)將以具體的數(shù)量值來表達(dá)。如對(duì)CIA屬性語言型數(shù)據(jù)，按照風(fēng)險(xiǎn)程度表達(dá)為很低、低、中、較高和高這樣的五級(jí)制表達(dá)方式，對(duì)應(yīng)的分值可用1～5進(jìn)行對(duì)應(yīng)的評(píng)分。

企業(yè)和組織在評(píng)估自身機(jī)構(gòu)內(nèi)部的資產(chǎn)時(shí)，會(huì)有不同的側(cè)重點(diǎn)，如涉密單位對(duì)機(jī)密性的要求更高，而文教單位更看重資產(chǎn)的可用性，因此對(duì)CIA屬性設(shè)置不同的權(quán)重。單個(gè)資產(chǎn)的漏洞風(fēng)險(xiǎn)值可由式(1)表達(dá)。

Riskasset=Wc·Lc+Wi·Li+Wa·La

(1)

其中，Riskasset為資產(chǎn)的風(fēng)險(xiǎn)值；Wc、Wi、Wa分別對(duì)應(yīng)機(jī)密性、完整性以及可用性的權(quán)重；Lc、Li、La分別對(duì)應(yīng)資產(chǎn)CIA屬性的風(fēng)險(xiǎn)等級(jí)的量化值。

2 評(píng)估的整體流程

系統(tǒng)的風(fēng)險(xiǎn)評(píng)估是對(duì)系統(tǒng)在發(fā)生安全事件后產(chǎn)生的損失進(jìn)行度量。這個(gè)過程需要分析系統(tǒng)的價(jià)值或相關(guān)的生產(chǎn)收益，而系統(tǒng)的價(jià)值一般體現(xiàn)在系統(tǒng)所包含的資產(chǎn)的價(jià)值或是資產(chǎn)承載的業(yè)務(wù)所產(chǎn)生的價(jià)值。因此，在評(píng)估中首先要明確系統(tǒng)所包含的各種資產(chǎn)，資產(chǎn)可以是實(shí)體設(shè)備也可以是組織內(nèi)部的人員或文件規(guī)范等。因此評(píng)估開始后要對(duì)待評(píng)估系統(tǒng)的構(gòu)成進(jìn)行分解，分解的過程要將系統(tǒng)劃分為不可分的部件，每個(gè)部件可以看作為一個(gè)待評(píng)估的資產(chǎn)。資產(chǎn)本身的漏洞是產(chǎn)生風(fēng)險(xiǎn)的來源，如操作系統(tǒng)沒有安裝合適的補(bǔ)丁，前端Web程序的輸入檢測(cè)不完善，設(shè)備的操作手冊(cè)過程不明確等都是相應(yīng)的安全漏洞。對(duì)資產(chǎn)的漏洞可以通過手工方式發(fā)現(xiàn)也可以通過工具進(jìn)行掃描。一般而言漏洞所產(chǎn)生的風(fēng)險(xiǎn)對(duì)系統(tǒng)的影響是多方面的，信息安全的風(fēng)險(xiǎn)評(píng)估中常用作安全考量的屬性眾多，如機(jī)密性、完整性、可用性、不可抵賴性、可審計(jì)性等，選擇合適的屬性影響指標(biāo)是評(píng)估當(dāng)中的一個(gè)重要問題，經(jīng)常取決于管理者對(duì)安全考慮的側(cè)重點(diǎn)。對(duì)安全屬性的影響程度可以采用定量或定性的方式表達(dá)。最后結(jié)合安全屬性的影響程度，可以綜合計(jì)算出相應(yīng)的風(fēng)險(xiǎn)程度。

3 評(píng)估方法分析

首先對(duì)系統(tǒng)進(jìn)行相應(yīng)的資產(chǎn)分解，分解后的系統(tǒng)資產(chǎn)可以用集合A來表示：

A={a1,a2,…,an}

(2)

其中，ai為系統(tǒng)中第i個(gè)資產(chǎn)，n為系統(tǒng)中資產(chǎn)的數(shù)量。

構(gòu)成復(fù)雜的系統(tǒng)會(huì)得到更大的資產(chǎn)集合，評(píng)估的過程也會(huì)更長(zhǎng)，因此在資產(chǎn)分解時(shí)有必要考慮是否對(duì)某些資產(chǎn)采用合并的處理方式，這樣可以加快評(píng)估的過程。

網(wǎng)絡(luò)信息設(shè)備的漏洞通?？梢酝ㄟ^漏洞掃描器進(jìn)行發(fā)現(xiàn)，通過漏洞掃描器對(duì)資產(chǎn)進(jìn)行掃描可以快速地發(fā)現(xiàn)漏洞并能夠從許多統(tǒng)一的安全漏洞庫中得到漏洞信息[12]。一般單個(gè)資產(chǎn)的漏洞掃描可能會(huì)得到不止一個(gè)漏洞，為了方便處理，這里將選擇資產(chǎn)上最嚴(yán)重的漏洞，因?yàn)樽顕?yán)重漏洞面臨的風(fēng)險(xiǎn)造成的損失是最大的，也包含了其他漏洞所造成的損失。經(jīng)過掃描器掃描后得到對(duì)應(yīng)的集合V來表示風(fēng)險(xiǎn)集合：

V={v1,v2,…,vn}

(3)

其中，vi表示資產(chǎn)ai對(duì)應(yīng)的最嚴(yán)重漏洞。

接下來要進(jìn)行的處理是安全屬性的評(píng)分，開始評(píng)分前要選擇合適的屬性。如前所述，CIA屬性作為信息安全評(píng)估中最重要也是最常見的屬性，能基本體現(xiàn)用戶對(duì)系統(tǒng)的安全需求。因此采用CIA屬性作為評(píng)分的指標(biāo)。通常評(píng)分過程采用專家打分的方式進(jìn)行處理，為了保證處理方法的通用性，采用CVSS系統(tǒng)[13]中的評(píng)分方式。該評(píng)分方法對(duì)CIA屬性只有三個(gè)等級(jí)的評(píng)分，但是能和大多數(shù)的掃描器和漏洞庫的分析結(jié)果自動(dòng)對(duì)接，形成評(píng)分結(jié)果。該評(píng)分方式的三個(gè)等級(jí)分別為無、低和高，對(duì)應(yīng)的量化值為0、1、2。

根據(jù)式(1)的計(jì)算方法，輸入預(yù)先設(shè)定的權(quán)重值和CIA屬性值，可以得到對(duì)應(yīng)資產(chǎn)的風(fēng)險(xiǎn)值，該值是一個(gè)數(shù)值型的數(shù)據(jù)。對(duì)于大多數(shù)系統(tǒng)使用者，總是希望用最直觀的表達(dá)方式來查看最后的評(píng)估結(jié)果，這時(shí)可以將該值進(jìn)行類型轉(zhuǎn)換，最終得出資產(chǎn)安全風(fēng)險(xiǎn)的定性表達(dá)方式。轉(zhuǎn)換過程如表1所示。

表1 風(fēng)險(xiǎn)值從定量到定性的轉(zhuǎn)換

4 應(yīng)用實(shí)例

以上簡(jiǎn)述了根據(jù)CIA屬性對(duì)網(wǎng)絡(luò)信息系統(tǒng)的評(píng)估過程。為了驗(yàn)證該評(píng)估方法，文中進(jìn)行的工作之一就是搭建一個(gè)待評(píng)估的應(yīng)用環(huán)境。該實(shí)驗(yàn)網(wǎng)絡(luò)內(nèi)有2臺(tái)計(jì)算機(jī)、1臺(tái)FTP服務(wù)器、1臺(tái)Web服務(wù)器，并通過1臺(tái)路由器連接到外部校園網(wǎng)。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

圖1 實(shí)驗(yàn)環(huán)境拓?fù)?/p>

在不考慮單個(gè)設(shè)備的軟硬件組成以及操作人員的情況下，可以對(duì)該環(huán)境的組成進(jìn)行相應(yīng)的資產(chǎn)分解，得到的資產(chǎn)信息如表2所示。

表2 資產(chǎn)信息

然后采用掃描工具Nessus[14]對(duì)資產(chǎn)信息進(jìn)行掃描，可得到資產(chǎn)對(duì)應(yīng)的最嚴(yán)重漏洞，見表3。

表3 資產(chǎn)對(duì)應(yīng)的漏洞信息

資產(chǎn)對(duì)應(yīng)的漏洞信息對(duì)應(yīng)CIA影響的屬性值可自動(dòng)從漏洞庫NVD[15]上取得，由此可得到所對(duì)應(yīng)的結(jié)果，見表4。

表4 資產(chǎn)漏洞對(duì)應(yīng)的CIA屬性影響等級(jí)

該實(shí)例中設(shè)置的機(jī)密性、完整性和可用性的權(quán)重向量W={0.5,0.25,0.25}，并按照表1的量化方法進(jìn)行轉(zhuǎn)換，結(jié)合權(quán)重進(jìn)行計(jì)算，得到最后的風(fēng)險(xiǎn)等級(jí)的計(jì)算結(jié)果，具體的數(shù)據(jù)和評(píng)估結(jié)果見表5。風(fēng)險(xiǎn)等級(jí)列將風(fēng)險(xiǎn)進(jìn)行了定性的表達(dá)。

表5 系統(tǒng)的評(píng)估數(shù)據(jù)及結(jié)果

5 結(jié)束語

主要論述了通過分析信息系統(tǒng)資產(chǎn)的CIA屬性實(shí)現(xiàn)安全評(píng)估的方法。該方法首先對(duì)資產(chǎn)進(jìn)行分析，然后通過掃描發(fā)現(xiàn)資產(chǎn)漏洞相應(yīng)的漏洞，結(jié)合CVSS評(píng)分系統(tǒng)和NVD漏洞庫，實(shí)現(xiàn)對(duì)系統(tǒng)的風(fēng)險(xiǎn)等級(jí)的評(píng)估。該方法進(jìn)一步的改進(jìn)工作包括資產(chǎn)的價(jià)值評(píng)估和權(quán)重分析，可以凸顯出核心資產(chǎn)在安全風(fēng)險(xiǎn)評(píng)估中的地位，實(shí)現(xiàn)更準(zhǔn)確的評(píng)估效果。

參考文獻(xiàn):

[1] 國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.2015年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告[M].北京:人民郵電出版社,2016.

[2] 中國(guó)信息安全測(cè)評(píng)中心.2016年國(guó)內(nèi)外信息安全漏洞態(tài)勢(shì)報(bào)告[J].中國(guó)信息安全,2017(1):110-116.

[3] SHAMELI-SENDI A, AGHABABAEI-BARZEGAR R,CHERIET M.Taxonomy of information security risk assessment (ISRA)[J].Computers & Security,2016,57:14-30.

[4] IONITA D,HARTEL P,PIETERS W,et al.Current established risk assessment methodologies and tools[R].[s.l.]:[s.n.],2014.

[5] 張 弢,慕德俊,任 帥,等.一種基于風(fēng)險(xiǎn)矩陣法的信息安全風(fēng)險(xiǎn)評(píng)估模型[J].計(jì)算機(jī)工程與應(yīng)用,2010,46(5):93-95.

[6] 劉延華,陳國(guó)龍,吳瑞芬.基于云模型和AHP的網(wǎng)絡(luò)信息系統(tǒng)可生存性評(píng)估[J].通信學(xué)報(bào),2014,35(8):107-115.

[7] 楊?yuàn)欐?朱建明.基于TOPSIS的信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)用研究[J].現(xiàn)代管理科學(xué),2014(2):24-26.

[8] KHANMOHAMMADI K,HOUMB S H.Business process-based information security risk assessment[C]//Fourth international conference on network and system security.Washington,DC,USA:IEEE Computer Society, 2010:199-206.

[9] FIRESMITH D G.Common concepts underlying safety,security,and survivability engineering[R].[s.l.]:[s.n.],2003.

[10] KARABACAK B,SOGUKPINAR I.ISRA M:information security risk analysis method[J].Computers & Security,2005,24(2):147-159.

[11] SENDI A S,JABBARIFAR M,SHAJARI M,et al.FEMRA:fuzzy expert model for risk assessment[C]//Fifth international conference on internet monitoring and protection.Washington,DC,USA:IEEE Computer Society,2010:48-53.

[12] RHINOW F,CLEAR M.Scargos:towards automatic vulnerability distribution[C]//International conference on security and cryptography.[s.l.]:IEEE,2015:369-376.

[13] Forum of Incident Response and Security Teams (first.org).Commonvulnerability scoring system CVSS v3.0 specification[S/OL].2015.https://www.first.org/cvss/cvss-v30-specificationv1.7.pdf.

[14] 肖 暉,張玉清.Nessus插件開發(fā)及實(shí)例[J].計(jì)算機(jī)工程,2007,33(2):241-243.

[15] 溫 濤.安全漏洞危害評(píng)估研究暨標(biāo)準(zhǔn)漏洞庫的設(shè)計(jì)與實(shí)現(xiàn)[D].西安:西安電子科技大學(xué),2016.